Qué es un WAF y qué bloquea
Un Web Application Firewall (WAF) se sitúa entre tus visitantes y tu aplicación web, inspeccionando cada solicitud entrante y decidiendo si la permite, la bloquea o la desafía. A diferencia de un firewall de red tradicional, que solo observa direcciones IP y puertos, un WAF entiende el tráfico web real (las URLs, los headers, las cookies y los datos de formularios), por lo que puede detectar ataques dirigidos a tu aplicación en sí.
Está diseñado para detener las amenazas web más comunes: SQL injection (manipular tu base de datos), cross-site scripting o XSS (inyectar scripts maliciosos), path traversal y bots maliciosos o abusivos. Sus conjuntos de reglas suelen seguir el OWASP Top 10, la lista de la industria con los riesgos más críticos para las aplicaciones web.
Cómo funciona realmente un WAF
Cuando llega una solicitud, el WAF la evalúa contra un conjunto de reglas antes de que llegue a tu aplicación. Esas reglas combinan firmas de ataques conocidos (patrones de SQL injection, XSS y similares), datos de reputación (IPs y botnets conocidas como maliciosas) y límites de comportamiento como el rate limiting para frenar la fuerza bruta y el scraping. Según el resultado, permite la solicitud, la bloquea o la desafía (por ejemplo, con una verificación que distingue a humanos de bots).
Como opera en la Layer 7, el WAF puede tomar decisiones que un firewall de red no puede: por ejemplo, permitir el tráfico normal hacia una página de login mientras bloquea una solicitud que lleva una carga de inyección. Los buenos WAF te permiten ejecutar las reglas primero en modo de monitoreo, para que veas qué se bloquearía antes de aplicarlo.
WAF en el edge vs. en el origen: por qué importa la ubicación
Un WAF que se ejecuta en el edge de la CDN inspecciona y bloquea las solicitudes maliciosas en la capa más externa de la red, cerca del atacante y lejos de tu servidor. El tráfico malicioso se descarta antes de consumir CPU, base de datos o ancho de banda de tu origen, y ese mismo edge que filtra ataques también absorbe las inundaciones volumétricas de DDoS gracias a su capacidad global.
Un WAF que solo se ejecuta en tu propio servidor (o como plugin) igualmente tiene que recibir y procesar cada solicitud primero, por lo que los ataques y las inundaciones llegan a tu infraestructura antes de ser filtrados. Colocar la seguridad en el edge significa que tu servidor dedica sus recursos a los visitantes reales, no a defenderse de ataques.
Ajuste fino: seguridad sin falsos positivos
La parte difícil de cualquier WAF es bloquear los ataques sin bloquear a los clientes reales. Las reglas demasiado estrictas pueden marcar envíos de formularios o llamadas a la API legítimas como ataques (un falso positivo), mientras que las reglas demasiado laxas dejan pasar amenazas. El enfoque práctico es empezar en modo de monitoreo, observar qué detectarían las reglas, luego ajustarlas y añadir allowlists para las rutas o parámetros específicos que tu aplicación necesita.
Este ajuste es un trabajo continuo, por lo que un WAF administrado resulta tan valioso: las reglas, las firmas y los umbrales de DDoS se mantienen por ti y se actualizan a medida que aparecen nuevas amenazas, así obtienes protección sin tener que convertirte en un ingeniero de seguridad.
Cuándo un WAF es más importante
Cualquier lugar donde los usuarios envían datos (checkout, formularios de contacto, login) es un objetivo para ataques de inyección y de credenciales que un WAF está diseñado para detener.
Un WAF bloquea scrapers, credential stuffing y bots de spam que roban contenido y desperdician los recursos de tu servidor.
Un WAF en el edge combinado con protección DDoS te mantiene en línea durante las inundaciones de tráfico, filtrando y absorbiendo el tráfico antes de que llegue a ti.
Preguntas frecuentes sobre WAF
¿Cuál es la diferencia entre un WAF y un firewall normal?
Un firewall de red filtra el tráfico por dirección IP y puerto (Layers 3-4). Un WAF funciona en la capa de aplicación (Layer 7): entiende las solicitudes HTTP y bloquea ataques a nivel de aplicación, como SQL injection y XSS, que un firewall de red no puede ver.
¿Necesito un WAF si ya tengo SSL/HTTPS?
Sí, cumplen funciones distintas. SSL/TLS cifra el tráfico para que no pueda leerse en tránsito; un WAF inspecciona ese tráfico en busca de ataques. Una solicitud cifrada aún puede llevar una carga de inyección, que es justo lo que el WAF está ahí para detectar.
¿Un WAF ralentizará mi sitio?
Un WAF en el edge añade una latencia insignificante e incluso puede hacer que tu sitio sea más rápido al descartar tráfico basura antes de que llegue a tu servidor. Funciona junto con la caché de la CDN, así que los visitantes legítimos siguen siendo atendidos desde el edge.
¿Un WAF bloqueará a visitantes reales?
Un WAF bien ajustado minimiza los falsos positivos al empezar en modo de monitoreo y usar allowlists para las rutas legítimas de tu aplicación. Un WAF administrado se encarga de este ajuste y mantiene las reglas actualizadas para que los clientes reales puedan pasar.